Deux projets GitHub : deux contacts, une journée riche en opportunités

Une Campagne de Malware Émerge via GitHub : Analyse d'une Tactique Innovante
Récemment, deux professionnels de la sécurité ont signalé des activités suspectes sur GitHub, attirant l'attention sur deux projets distincts. "Tito" m'a contacté directement via message privé au sujet d'un commentaire sur GitHub relatif à un patch pour un projet nommé "synara". Parallèlement, "Robert Z" a signalé un cas similaire sur un autre projet. Ces événements soulèvent des questions sur la sécurité des utilisateurs et des projets open source sur cette plateforme.
Les Indications Préliminaires
Une investigation plus approfondie a révélé un schéma inquiétant : plusieurs noms de fichiers liés à des patches malveillants ont été découverts en ligne, notamment :
- hb_patch_v1112
- registry_patch_v0.1.7
- rep_fix_v1.zip
- sodium_fix_v1
- log_fix_patch
Ces fichiers, apparemment innocents, cachent un programme écrit en langage Go, qui, lorsqu'il est exécuté, établit une connexion vers un hôte distant identifié comme étant une chaîne Telegram. La description de ce canal Telegram inclut un site web, servant de destination pour l'exfiltration de code malveillant.
Une Tactique Évolutive
La campagne semble avoir débuté le 7 juillet et se propage rapidement. Plus détaillé, le mécanisme employé par les acteurs malveillants consiste à créer de faux comptes sur GitHub. Avec ces comptes, ils ouvrent des « issues » pour poster des commentaires prétendant avoir trouvé des patches. Il est fort probable que cette activité soit automatisée, ce qui facilite la diffusion à grande échelle de ce malware.
La Technique Derrière le Malware
En inspectant le binaire du malware, il devient évident qu'il fonctionne comme un résolveur DNS alterné : il utilise Telegram pour stocker temporairement des informations et peut facilement changer la description du canal pour rediriger vers un autre site en cas de suppression de l'URL précédente. Cela rend difficile la traçabilité et la suppression rapide du malware.
Identification et Caractéristiques du Malware
D'après les identifiants YARA, ce malware est identifié comme étant "StealC". Son utilisation innovante d'un spam sur GitHub couplé à un résolveur DNS non conventionnel sur Telegram illustre une approche astucieuse et adaptative des cybercriminels. Étant donné que la réaction de Telegram aux demandes de retrait est souvent lente, cela permet au malware de rester opérationnel bien plus longtemps.
Résumé de la Situation
| Élément | Détails |
|---|---|
| Type de Malware | StealC |
| Langage de Programmation | Go |
| Date de Début de la Campagne | 7 juillet |
| Plateforme Utilisée | GitHub, Telegram |
| Stratégie de Dissémination | Comptes falsifiés sur GitHub, spam |
| Mécanisme d'Exfiltration | Site web dans la description Telegram |
Dans ce contexte, il est crucial que les utilisateurs et les développeurs sur GitHub restent vigilants et prennent des mesures proactives pour sécuriser leurs projets. La vigilance face à ces menaces émergentes est essentielle pour maintenir l'intégrité de l'écosystème open source.
TechOffice